Nuestro latido del corazón, la sangre bombeando por nuestras venas y el cerebro comunicándose con nuestras extremidades. Estas son todas formas en las que podemos saber que somos humanos.
Y a menudo, CAPTCHA nos hace probarlo. Claro, este esfuerzo por aumentar la ciberseguridad puede parecer molesto a veces, pero nos ayuda a todos a largo plazo.
Algunos sitios web están invadidos por bots y usuarios maliciosos que publican comentarios de spam y hackean datos importantes. Estos no son tus típicos rastreadores web inofensivos, sino bots con motivos ulteriores.
El software de detección y mitigación de bots puede ayudar a las empresas a defenderse contra ataques cibernéticos u otras actividades no autorizadas que involucren bots.
Una prueba CAPTCHA está diseñada para determinar si un usuario en línea es un humano y no un bot. Las pruebas CAPTCHA son una forma efectiva de evitar que los bots accedan a cuentas de usuario, compras en línea y otras áreas sensibles de tu sitio web.
¿Qué es un CAPTCHA?
CAPTCHA es un sistema de desafío-respuesta que distingue entre robots y humanos usando un sitio web donde tienes que "probar que eres humano". CAPTCHA, que significa Prueba de Turing Pública Completamente Automatizada para diferenciar Computadoras de Humanos, se ha vuelto cada vez más popular en varios sitios web para disminuir el spam y probar la legitimidad de sus usuarios.
Los CAPTCHAs se utilizan como pruebas de seguridad para evitar que spammers y hackers inserten código peligroso o frívolo en formularios en línea. Los usuarios a menudo se encuentran con pruebas CAPTCHA y reCAPTCHA en Internet. Aunque el enfoque tiene sus inconvenientes, tales pruebas son una forma de gestionar la actividad de los bots.
Los CAPTCHAs pueden usarse para una variedad de propósitos de seguridad, incluyendo:
- Prevenir el spam en comentarios de blogs: La mayoría de los bloggers son conscientes de las herramientas que publican comentarios fraudulentos, generalmente con la intención de aumentar el ranking de un sitio web en los motores de búsqueda. Esto se conoce como spam de comentarios. Solo los humanos pueden dejar comentarios en un blog usando un CAPTCHA. No hay necesidad de requerir que las personas se registren antes de dejar una reseña, y nunca se pierden respuestas válidas.
- Mantener segura la inscripción en sitios web: Varias empresas ofrecen servicios de correo electrónico gratuitos. Hasta hace poco, la mayoría de estos sistemas eran vulnerables a un tipo específico de ataque: bots que se registraban para cientos de cuentas de correo electrónico por minuto. La solución a este problema fue emplear CAPTCHAs para garantizar que solo los humanos pudieran acceder al contenido.
- Defenderse contra ataques de diccionario: CAPTCHA también se utiliza para proteger los sistemas de contraseñas de ataques de diccionario. El concepto es sencillo: restringir a un programa de iterar sobre todo el rango de contraseñas forzándolo a pasar un CAPTCHA después de una serie específica de intentos fallidos de inicio de sesión. Esto es preferible al enfoque tradicional de bloquear una cuenta después de una serie de intentos fallidos de inicio de sesión, ya que hacerlo permite a un atacante bloquear cuentas a su antojo.
Cómo CAPTCHA mantiene seguros los sitios web
La razón por la que tantos sitios web están usando CAPTCHA es por el aumento del spam. CAPTCHA proporciona formas para que estos sitios web verifiquen si una persona que se registra, realiza una compra o comenta es un humano real en lugar de un programa de computadora o máquina que busca inundar el sitio con spam.
Si bien nosotros, como usuarios, a menudo encontramos molesto y que consume tiempo ingresar texto o hacer clic en una serie de fotos, vale la pena a largo plazo. Imagina intentar comprar entradas para un concierto para ver a tu banda favorita, solo para que los bots de spam se abalancen y compren 100 de ellas a la vez. Gracias a CAPTCHA, podemos estar seguros de que solo los humanos reales compran estas entradas.
Si un propietario de un sitio web o blog no implora CAPTCHA, recibirá docenas de comentarios de spam, compras y sesiones de tráfico al día. Además, CAPTCHA también protege las direcciones de correo electrónico de los estafadores, los registros en sitios web, las encuestas en línea y el correo basura.
¿Cómo funciona CAPTCHA?
Los CAPTCHAs tradicionales piden a los visitantes que distingan letras. Las letras están distorsionadas de manera que es poco probable que los bots las entiendan. Los usuarios deben descifrar el texto distorsionado, ingresar los caracteres correctos en un campo de formulario y luego enviar el formulario para pasar la prueba.
Se anima a los usuarios a intentarlo de nuevo si los caracteres no coinciden. Estas pruebas se utilizan ampliamente en formularios de inicio de sesión, formularios de registro de cuentas, encuestas de opinión y sitios de pago de comercio electrónico.
La noción detrás de esto es que un programa de software, como un bot, no puede entender las letras distorsionadas. Sin embargo, un humano puede comprender letras en una variedad de circunstancias. La mayoría de los bots solo ingresarán caracteres aleatorios, lo que hace altamente improbable que pasen la prueba. Como resultado, los bots fallan espectacularmente y se les prohíbe interactuar con el sitio web o servicio, pero los humanos pueden continuar usándolo normalmente.
A medida que los bots avanzados pueden usar aprendizaje automático para detectar estos caracteres distorsionados, tales tipos de pruebas CAPTCHA están siendo eliminadas en favor de desafíos más complicados. Google reCAPTCHA ha creado una gama de diferentes pruebas para distinguir entre usuarios reales y bots.
¿Quieres aprender más sobre Detección y Mitigación de Software de Bots? Explora los productos de Detección y mitigación de bots.
Historia de CAPTCHA
Como sugiere el acrónimo, CAPTCHA es parte de la Prueba de Turing, creada por Alan Turing. Conocido como el padre de las computadoras modernas, Turing jugó un papel significativo en la historia de las computadoras, y esta prueba en particular fue creada como un experimento para ver si las máquinas podían pensar o parecer humanas.
Durante la Prueba de Turing, un interrogador haría una serie de preguntas a dos participantes. Un participante es humano y el otro es una máquina. El interrogador no sabe cuál es cuál e intenta adivinar cuál es la máquina. Si adivinan mal, la máquina ha pasado la Prueba de Turing.
CAPTCHA fue diseñado para engañar a las máquinas y crear una prueba que solo un humano pudiera pasar. La Prueba de Turing fue creada para la aplicación CAPTCHA para poseer varios tipos de CAPTCHA para diferentes usuarios, dependiendo de sus necesidades.
El término CAPTCHA fue utilizado oficialmente por primera vez en 2000 por científicos informáticos de la Universidad Carnegie Mellon como una forma de bloquear el software de spam para que no publique comentarios en páginas o compre artículos en exceso de una vez.
Tipos de CAPTCHA
La validación CAPTCHA asegura que el usuario es humano y no un bot. Esta verificación puede prevenir que programas automatizados accedan a servicios, compren algo u otros. Los tipos de CAPTCHA más comúnmente utilizados son los siguientes:
CAPTCHA basado en texto
Los CAPTCHAs basados en texto son el tipo más común de CAPTCHA, que requiere que un usuario escriba una serie de números o letras mostradas en un cuadro de texto. Estos CAPTCHAs pueden emplear palabras o frases conocidas, así como combinaciones de dígitos y caracteres aleatorios. Algunos CAPTCHAs basados en texto también presentan cambios de mayúsculas.
El CAPTCHA muestra estos caracteres de una manera alienante y ambigua que requiere interpretación. Los caracteres pueden ser alienados escalándolos, rotándolos o distorsionándolos. También puedes superponer caracteres con características visuales como color, ruido de fondo, trazos, arcos o manchas. Esta separación protege contra bots con algoritmos de reconocimiento de texto débiles, pero también puede ser difícil de comprender para las personas.
Fuente: Captcha.net
Los CAPTCHAs basados en texto utilizan una variedad de técnicas, incluyendo:
- Gimpy: Selecciona un número aleatorio de palabras de un léxico de 850 palabras y las presenta en una forma deformada
- EZ-Gimpy: Una variante de Gimpy que usa solo una palabra
- Gimpy-r: Elige letras aleatorias, las distorsiona y añade ruido de fondo a la secuencia de caracteres
- Simard's HIP: Selecciona letras y dígitos al azar y luego los distorsiona con arcos y colores
CAPTCHA basado en imágenes
Los CAPTCHAs basados en imágenes se introdujeron para reemplazar los CAPTCHAs basados en texto. Estos CAPTCHAs utilizan características gráficas identificables, como imágenes de animales, objetos o lugares. Típicamente, los CAPTCHAs basados en imágenes exigen a los usuarios que elijan imágenes que se ajusten a un tema o identifiquen imágenes que no encajan.
Los CAPTCHAs basados en imágenes suelen ser más fáciles de entender para las personas en comparación con los CAPTCHAs basados en texto. Sin embargo, estas técnicas plantean desafíos significativos de accesibilidad para los usuarios con discapacidad visual. Los CAPTCHAs basados en imágenes son más difíciles de descifrar para los bots que los CAPTCHAs basados en texto, ya que estas tecnologías requieren tanto reconocimiento de imágenes como categorización semántica.
Fuente: Medium
CAPTCHA de audio
Los CAPTCHAs de audio se crearon como una solución para usuarios con discapacidad visual. Estos CAPTCHAs se utilizan con frecuencia junto con CAPTCHAs basados en texto o imágenes. Los CAPTCHAs de audio reproducen un mensaje de audio de una secuencia de caracteres, que el usuario debe ingresar posteriormente.
A menudo, un usuario puede solicitar que un CAPTCHA de texto se renderice como un archivo de audio MP3. Estos CAPTCHAs dependen de que los bots no puedan identificar caracteres significativos del ruido de fondo. Estos CAPTCHAs pueden ser desafiantes tanto para las personas como para las computadoras de descifrar.
No CAPTCHA ReCAPTCHA
Esta forma de CAPTCHA, popularizada por Google, es significativamente más accesible para que los usuarios la entiendan que la mayoría de las otras. Ofrece una casilla de verificación etiquetada "No soy un robot", que los usuarios deben marcar. Determina la legitimidad observando los movimientos del usuario y determinando si un clic u otra acción del usuario en el sitio web coincide con la actividad humana o un bot.
Si el intento falla, reCAPTCHA mostrará un CAPTCHA de selección de imágenes clásico, aunque, en la mayoría de los casos, la prueba de la casilla de verificación servirá para autenticar al usuario.
Fuente: Google
CAPTCHA de matemáticas
Algunos procesos CAPTCHA requieren que los usuarios resuelvan un desafío matemático fundamental. Los CAPTCHAs de matemáticas piden a los usuarios que resuelvan un problema matemático básico, como sumar o restar dos números.
Fuente: Researchgate
La idea es que un bot tendrá dificultades para reconocer la consulta y formular una respuesta. Un problema de palabras es otra forma que requiere que el usuario ingrese la palabra faltante en una frase o complete una secuencia de varios términos relacionados. Estos desafíos son accesibles para personas con discapacidad visual, pero también pueden ser accesibles para que los bots malos los resuelvan.
Consejo: La mayoría de estos tipos de CAPTCHAs son pruebas visuales. Esto se debe a que las computadoras no son lo suficientemente avanzadas (todavía) para procesar datos visuales de la manera en que los humanos pueden. Aun así, es esencial tener en cuenta la accesibilidad si eres un sitio web interesado en aprovechar CAPTCHA. Una alternativa a un CAPTCHA visual, como el CAPTCHA de audio, es imprescindible para los usuarios con discapacidad visual.
El reCAPTCHA de Google
reCAPTCHA es un servicio gratuito proporcionado por Google como una alternativa a los CAPTCHAs tradicionales. Investigadores de la Universidad Carnegie Mellon crearon el sistema reCAPTCHA, que Google compró más tarde en 2009.
reCAPTCHA es una verificación CAPTCHA más sofisticada que las verificaciones CAPTCHA tradicionales. Algunos reCAPTCHAs, como CAPTCHA, requieren que los usuarios envíen imágenes de texto que las computadoras no pueden entender. A diferencia de los CAPTCHAs tradicionales, reCAPTCHA deriva su texto de imágenes del mundo real, como imágenes fotográficas de direcciones de calles, material de libros impresos, texto de periódicos históricos, y así sucesivamente.
Google utiliza su software reCAPTCHA cuando los usuarios:
- Se registran para un nuevo servicio de Google, como Gmail o YouTube
- Se registran para cualquier edición de una cuenta de G Suite
- Cambian una contraseña en una cuenta existente
- Configuran servicios de Google para un dispositivo de terceros, como un iPhone
Beneficios de CAPTCHA
Los CAPTCHAs, en esencia, restringen a los hackers de explotar servicios en línea al prevenir que el software de bots envíe solicitudes en línea falsas o maliciosas. Los CAPTCHAs a menudo se ven como una necesidad maligna porque un sitio web necesita evitar el spam y la automatización, pero hay más beneficios de los que se ven a simple vista.
- Preservar la integridad de las encuestas en línea al evitar que los hackers envíen respuestas falsas repetitivas a través de bots.
- Evitar ataques de fuerza bruta en cuentas sociales, en los que los hackers intentan iniciar sesión usando muchas contraseñas nuevas.
- Restringir a los estafadores de spamear blogs o páginas de medios en línea con comentarios y conexiones cuestionables a otros sitios web.
- Mejorar la seguridad de las compras en línea.
Desafíos de CAPTCHA
CAPTCHA suena como una solución fácil al principio. Pero CAPTCHA también tiene sus fallas y desventajas.
- Mala experiencia de usuario: Una evaluación CAPTCHA puede interrumpir el flujo de lo que los visitantes están intentando lograr, dándoles una mala impresión de su interacción en el dominio web y, en algunas situaciones, haciendo que abandonen la página web por completo.
- Accesibilidad inadecuada: La mayoría de los CAPTCHAs son inaccesibles para usuarios con discapacidad visual ya que dependen del procesamiento visual. Esto los hace prácticamente difíciles para usuarios con discapacidad visual y cualquier persona con visión severamente comprometida.
- No infalible: Los CAPTCHAs no son completamente a prueba de bots y no se debe depender de ellos para la regulación de bots.
¡Gotta CAPTCHA them all!
Sé un buen humano. O al menos, sé bueno demostrando que eres un humano para CAPTCHA. Es la única forma en que podrás comprar esas entradas de concierto de último minuto o publicar un comentario alentador en un blog.
Mantente seguro de los ataques cibernéticos. Aprende cómo la autenticación de dos factores puede proteger mejor tu información personal.
Mara Calvello
Mara Calvello is a Content and Communications Manager at G2. She received her Bachelor of Arts degree from Elmhurst College (now Elmhurst University). Mara writes content highlighting G2 newsroom events and customer marketing case studies, while also focusing on social media and communications for G2. She previously wrote content to support our G2 Tea newsletter, as well as categories on artificial intelligence, natural language understanding (NLU), AI code generation, synthetic data, and more. In her spare time, she's out exploring with her rescue dog Zeke or enjoying a good book.
